在 HTTPS 已成标配的今天,SSL/TLS 证书的管理却依然是很多团队的痛点:申请、上传、续期、验证,一步出错,可能导致整站访问异常。过去,我们已经介绍过两种常见做法:使用 Let’s Encrypt 自动签发证书,或在 Edge 控制台手动上传 SSL 证书。本文将介绍一种新方式,即在 OpenResty Edge 中通过 ACME 协议实现证书管理。其实,OpenResty Edge 一直支持 ACME 协议,可对接 Google Trust Services、ZeroSSL、DigiCert、Sectigo 等各类 CA 厂商(通过 EAB 扩展),这意味着您可以一键配置,实现包括通配符和多域名证书在内的自动签发和更新,告别申请、上传、续期的繁琐操作。

申请试用 OpenResty Edge

ACME 协议是什么?

在现代网站架构中,SSL/TLS 证书的申请、更新与管理,是保障业务安全的重要一环。但对运维团队而言,这一过程往往既繁琐又容易出错。

OpenResty Edge 实现了 ACME 协议的核心能力,支持自动化证书管理与签发,帮助用户以更灵活、安全的方式管理大规模站点的证书生命周期。您可以通过 OpenResty Edge 实现:

  • 证书申请与自动更新:通过 ACME 协议全流程自动化完成证书申请、验证、续签。
  • 域名所有权验证:支持 HTTP-01 与 DNS-01 两种验证方式。
  • 与 ACME 服务器的交互与任务调度:统一管理证书签发任务,自动重试与轮询更新。
  • 证书存储、查询与发布:Edge 平台内置证书存储与分发机制,无需额外客户端。

为什么需要 ACME 协议支持

在过去,OpenResty Edge 用户通常通过两种方式配置 SSL/TLS 证书:手动上传证书,或使用 Let’s Encrypt(LE)自动签发。这两种方式的局限性在于:

  • Let’s Encrypt 速率限制:单账号或单域名签发频率受限;
  • 证书来源单一:无法满足多 issuer 或企业内部 CA 的需求;
  • 管理复杂:多租户、多域名场景下证书更新容易出错。

通过 ACME 协议管理证书可以:

  • 突破 LE 限制:支持多个 issuer 与多账号配置,轻松应对签发频率限制。
  • 灵活的 CA 选择:除 Let’s Encrypt 外,还可选择 ZeroSSL、Buypass,或自建 ACME 服务。
  • 一体化管理:在 OpenResty Edge 平台统一查看、分发与更新证书,减少运维负担。

如何在 OpenResty Edge 中通过 ACME 协议自动签发证书

首先在全局配置页面的证书签发商中,添加证书签发商信息。

Screenshot

然后在应用的 SSL 页面,选择为整个应用授予一个全局证书,或者通过点击添加证书按钮为应用添加一个特定的 SSL 证书。

Screenshot

点击添加证书按钮后,使用符合 ACME 协议的其他证书发行者生成证书。

Screenshot

您也可以使用其他 ACME 发行商自动签发证书。签发证书前,请确保您的域名 DNS 已正确解析并指向您的 Edge Node 网关服务器。

Screenshot

您也可以如何为同一域名配置多个 ACME 证书,具体的流程步骤请参考:应用内证书

如果您想通过其他方式上传证书,可以参考:

  1. 使用 Let’s Encrypt 客户端自动签发证书
  2. 在 Edge 控制台手动上传 SSL 证书

最佳实践与常见问题

Q1. 支持通配符证书吗?

支持,通过 DNS-01 验证方式实现。

Q2. 与手动上传证书能否共存?

可与手动证书共同管理,不影响现有部署。

Q3. 更新失败怎么办?

具备重试与回滚机制,可手动触发重新申请。

关于 OpenResty Edge

OpenResty Edge 是一款专为微服务和分布式流量架构设计的全能型网关软件,由我们自主研发。它集流量管理、私有 CDN 构建、API 网关、安全防护等功能于一体,帮助您轻松构建、管理和保护现代应用程序。OpenResty Edge 拥有业界领先的性能和可扩展性,能够满足高并发、高负载场景下的苛刻需求。它支持调度 K8s 等容器应用流量,并可管理海量域名,轻松满足大型网站和复杂应用的需求。

申请试用 OpenResty Edge

如果你喜欢这个教程,请订阅这个博客网站和我们的 B 站频道。谢谢!

关于作者

章亦春是开源 OpenResty® 项目创始人兼 OpenResty Inc. 公司 CEO 和创始人。

章亦春(Github ID: agentzh),生于中国江苏,现定居美国湾区。他是中国早期开源技术和文化的倡导者和领军人物,曾供职于多家国际知名的高科技企业,如 Cloudflare、雅虎、阿里巴巴, 是 “边缘计算“、”动态追踪 “和 “机器编程 “的先驱,拥有超过 22 年的编程及 16 年的开源经验。作为拥有超过 4000 万全球域名用户的开源项目的领导者。他基于其 OpenResty® 开源项目打造的高科技企业 OpenResty Inc. 位于美国硅谷中心。其主打的两个产品 OpenResty XRay(利用动态追踪技术的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最适合微服务和分布式流量的全能型网关软件),广受全球众多上市及大型企业青睐。在 OpenResty 以外,章亦春为多个开源项目贡献了累计超过百万行代码,其中包括,Linux 内核、Nginx、LuaJITGDBSystemTapLLVM、Perl 等,并编写过 60 多个开源软件库。

关注我们

如果您喜欢本文,欢迎关注我们 OpenResty Inc. 公司的博客网站 。也欢迎扫码关注我们的微信公众号:

我们的微信公众号

翻译

我们提供了英文版原文和中译版(本文)。我们也欢迎读者提供其他语言的翻译版本,只要是全文翻译不带省略,我们都将会考虑采用,非常感谢!